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О применении интеллектуальных технологий 
в мониторинге компьютерных сетей 


В статье рассматриваются некоторые вопросы применения интеллектуальных технологий в сетевом 
мониторинге компьютерных сетей (КС), которые являются очень важными дополнениями к системам 
сетевого мониторинга. А именно вопросы использования мобильных агентов в системах сетевого мониторинга 
и управления КС, а также методов машинного обучения для классификации сетевого трафика КС. 


Введение 


Сегодня все больше и больше компьютерным сетям (КС) доверяют решение 
многих задач жизнедеятельности, таких, как, управление энергетической системой, тех- 
нологическим процессом, личная и корпоративная коммуникация, банковское дело, 
торговля, посещение магазинов и т.д. При этом, с каждым днем масштаб и сложность 
современных КС растут, а также увеличивается скорость передачи данных в них. Кроме 
того, изменяются характер и объем сетевого трафика, а также создаются новые техно- 
логии построения КС (например, оптические, беспроводные и т.д.), что приводит к 
расширению диапазона неисправностей, происходящих в КС, растет размер ущерба из- 
за их простоев. В результате этого управление КС становится очень трудоемкой зада- 
чей и требует больших человеческих ресурсов. При таких условиях выполнение ос- 
новных обязанностей системных администраторов КС зависит от результатов сетевого 
мониторинга. 

Цель работы — проанализировать специфические особенности задач сетевого мо- 
ниторинга КС, а именно рассмотреть вопросы использования агентов для централизации 
управления мониторинга КС, а также методы машинного обучения для классификации 
сетевого трафика КС. 

Сетевой мониторинг — это слежение и анализ состояний и поведения управляе- 
мых КС. Сетевой мониторинг является источником получения объективных данных 
о состоянии и функционировании КС, без чего трудно принять обоснованные решения 
по их управлению. Кроме того, без проведения сетевого мониторинга трудно сделать 
объективное заключение о конфигурации сетевого аппаратного и программного обес- 
печения КС, а также о результатах проведенных в них изменений и обеспечить без- 
опасность КС. Поэтому состояние сегодняшних КС должно постоянно контролирова- 
ться, что невозможно без сетевого мониторинга. Однако постоянный мониторинг КС 
не всегда выгоден и не нужен, так как может привести к большим издержкам из-за ог- 
ромности собираемого сетевого трафика, объема передаваемых по сети мониторинго- 
вых данных и Т.д. 

Анализ существующих методов мониторинга КС показал, что они имеют ряд не- 
достатков. Один из недостатков заключается в том, что эти подходы имеют характер 
централизации, при которой все вычислительные нагрузки сосредоточиваются на од- 
ном компьютере. В результате огромный объем мониторинговых данных должен быть 
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передан в центр мониторинга для дальнейшей обработки, что загружает центр мони- 
торинга, а также каналы самой КС. Другим недостатком является то, что существую- 
щие подходы сетевого мониторинга собирают и отображают сетевой трафик и данные 
без использования эффективных методов добычи данных (Раёа тии). Третьим не- 
достатком является отсутствие возможности расширения функций мониторинга при 
необходимости и т.д. 

Кроме того, растущая сложность и масштаб сегодняшних КС, а также количество 
используемых в них сетевых сервисов и приложений, механизмов защиты, аппарат- 
ного и программного обеспечения могут привести к тому, что сам процесс мониторин- 
га будет генерировать большой трафик и потреблять огромные системные ресурсы. 
Например, имеющиеся в КС серверы, межсетевые экраны, маршрутизаторы, системы 
обнаружения вторжения и т.д. генерируют непрерывный поток мониторинговых со- 
общений. В конечном счете это может привести к нарушению нормальной работы КС, 
поэтому необходимо создание новых технологий мониторинга, которые позволят про- 
водить децентрализованный мониторинг КС. 

Поэтому для повышения эффективности мониторинга КС актуальным является 
использование интеллектуальных технологий (ИТ), так как они способны значительно 
упростить и облегчить процесс мониторинга КС. Кроме того, использование ИТ позво- 
ляет минимизировать роль человека при мониторинге КС, уменьшить потери нужной 
информации, минимизировать влияние мониторинговой системы на нормальную ра- 
боту КС ит.д. 


1 Управление и мониторинг КС 


Существуют различные функциональные требования к системам управления КС. 
Самая известная классификация функций систем управления КС определена [ЗО (Те 
Пуеглайопа! Оггашиайоп Юг З‘апдаг@таноп, Ппиегпайопа| Зфапдага$ Огоаштайоп), кото- 
рая состоит из управления конфигурацией, неисправностями, производительностью, 
безопасностью и учетом сетевых ресурсов [1], [2]. 

Традиционные системы управления КС основываются на ЭММР (Зпир!е МебмуотК 
Мапасетепе Ргоюсо]) ТЕТЕ или СМПР (Соттоп Мапагетеп шЮппайоп Ргоюсо]) ОЗ] [3] 
и состоят из двух компонентов: менеджера и агентов. В обоих подходах управление 
КС осуществляется централизованным способом. На рис. 1 изображена схема типич- 
ной системы управления сетью. 


Управляющая менеджер 
рабочая станция 


Элементы сети 


агенты 


Рисунок 1 — Компоненты типичной системы управления КС 
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Приложения, находящиеся в управляющей рабочей станции, играют роль менед- 
жера и позволяют администратору КС с помощью СОТ (Отарса1 Озег ПиегЁсе) осу- 
ществлять мониторинг КС. Агенты — это часть процессов сервера, выполняемых на 
объектах управляемой КС. Агенты собирают данные о сетевых устройствах и хранят 
их в МВ (Мапаветепе шглайоп Вазе) базах, которые поддерживают ЗММР или СМ!Р- 
протоколы [4], [5]. 

Главной целью систем управления КС является гарантирование качество услуг 
(то есть Оо5), которое предоставляет КС. Для этого менеджеры КС должны провести 
мониторинг и управлять взаимосвязанными элементами КС. Сетевой мониторинг прово- 
дит наблюдение и анализ состояния и поведения сетевых устройств, которые входят 
в конфигурацию КС и должны ею управляться. Поэтому точный и эффективный мо- 
ниторинг является очень важным для выполнения различных функций управления КС. 

Современные системы мониторинга/управления КС имеют централизованную 
структуру, в которой основная часть функций мониторинга, интеллектуализации и 
обработки осуществляется с помощью приложений управляющих рабочих станций. 
Поэтому мониторинг всех соединений и обработка собранных мониторинговых дан- 
ных осуществятся на управляющей рабочей станции, что может привести к эффекту 
«бутылочной горалы» и единственной точки отказа. Такая централизация снижает эф- 
фективность сетевого мониторинга, особенно в высокоскоростных КС, а также не при- 
годна для больших и сложных КС. 

Так как приложения менеджера могут взаимодействовать с элементами КС толь- 
ко через низкоуровневые интерфейсы общего назначения, то решение даже незначи- 
тельной задачи мониторинга потребует передачи большого объема «сырых» ЭММР- 
данных в управляющую рабочую станцию, что может привести к непроизводитель- 
ным издержкам и существенному снижению производительности управляемой КС. 

Управление КС можно разделить на два логических компонента, то есть на мо- 
ниторинг сети и контроль сети. Фактически каждая из пяти упомянутых выше функ- 
циональных областей может включить в себя эти компоненты. В свою очередь функции 
сетевого мониторинга КС можно разделить на два этапа: обследование (измерение) и 
анализ. А к основным задачам сетевого мониторинга КС относятся: 1) мониторинг без- 
опасности КС, который заключается в обследовании и анализе доступа пользователей 
в КС, чтобы обнаружить ошибочные, незаконные или злонамеренные пользовательс- 
кие операции, которые могут поставить под угрозу безопасность КС; 2) мониторинг 
производительности КС, который заключается в обследовании и анализе индикаторов, 
имеющих отношение к производительности КС, таких, как утилизация, пропускная 
способность, доступность и т.д., чтобы обнаружить ухудшение производительности кана- 
лов и сетевых устройств КС; 3) мониторинг неисправностей в КС, который заключа- 
ется в обследовании и анализе индикаторов (известных так же, как симптомы), имеющих 
отношение к неисправностям, чтобы обнаружить потенциальные неисправности; и т.д. 

Контроль сети способен изменить или переформировать определенные части КС, 
чтобы восстановить работу сети при обнаружении некоторых отклонений от нормы 
и сообщить об этом сетевому монитору. 


2 Интеллектуальный сетевой мониторинг КС 
с помощью мобильных агентов 


Основные проблемы мониторинга распределенных и неоднородных КС связаны 
с тем, что топология КС может постоянно изменяться, полоса пропускания — ограни- 
ченной, латентность — высокой, коммуникационные каналы — недоступными и т.д. Ис- 
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пользование мобильных агентов (МА) в системах сетевого мониторинга КС позволит 
решить эти проблемы, то есть заранее получить информацию об этих проблемах и реа- 
гировать на них. 

МА - это мультиагентные системы, которые включают в себя все признаки аген- 
та [6]. Эти агенты являются интеллектуальными, могут содержать код управления и 
переходить от узла к узлу КС, пока не выполнят свою задачу, и сохраняют информа- 
цию об их состоянии в отдельности. Для достижения своих целей они также общают- 
ся с другими агентами. 

МА функционируют следующим образом. Изначально МА создаются и хранятся 
на отдельном компьютере, так называемой исходной машине (Воте тасНше). Далее 
агент отправляется на удаленный компьютер, так называемый хост МА, для выпол- 
нения. Хост МА также называют сервером МА. Вместе с агентом хосту отправляют 
весь код МА и информацию о состоянии МА. Хост предоставляет агенту подходящую 
среду для выполнения. При этом для выполнения своей задачи МА используют ресур- 
сы хоста (ресурсы центрального процессора, память и т.д.). После завершения своей 
задачи на хосте МА переходят на другой компьютер. При этом миграция МА продол- 
жается до тех пор, пока МА не возвратится к исходной машине после завершения 
выполнения задачи на последней машине в маршруте. При этом жизненный цикл МА 
состоит из следующих этапов (рис. 2): 

1. МА создается на исходной машине (Воте пасте). 

2. МА посылается на хост МА для выполнения. 

3. Агент выполняется на хосте А. 

4. После выполнения агент создает свою копию, затем одна копия отправляется 
хосту В, а другая — хосту С. 

5. Создание копий осуществляется на соответствующих хостах. 

6. После выполнения на хостах В и С МА отправляются исходной машине (Во- 
ше тасбте). 

7. Исходная машина (воте тасбте) принимает агенты и анализирует собранные 
ими данные. 


ноте 
мы 
- Г НИР 
| МА — (мА) 
| (мл) 
у МА 
уч 1 
"=. 
{ мА) / ь (мА) 


Рисунок 2 — Жизненный цикл МА 


МА имеют некоторые преимущества, связанные со снижением загрузки и латен- 
тности сети, инкапсуляцией протоколов, асинхронным и автономным выполнением и 
отказоустойчивостью. 

Наряду с преимуществами у МА имеются недостатки. Основные недостатки свя- 
заны с наличием рисков безопасности использования МА и безопасности мобильной 
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среды вычисления, то есть злонамеренная МА может повредить хост. Например, ви- 
рус может замаскироваться под МА и распространяться в КС и нарушить работу хос- 
тов. С другой стороны, злонамеренные хосты могут нарушить функции МА. 

Существуют различные механизмы защиты от злонамеренных действий. Одна из 
предложенных схем защиты от злонамеренных действий заключается во введении ме- 
ханизма трассировки действий МА на каждом хосте. Используя трассировку, можно 
обнаружить как злонамеренные действия МА, так и злонамеренные хосты. Однако, 
несмотря на существенное развитие криптографии, существуют проблемы, связанные 
с безопасностью МА [7], [8]. 

Имеются различные подходы к управлению КС с использованием МА. Первый 
подход основан на создании архитектуры, которая включает менеджеров, серверы и 
управляющие агенты [9]. В этой архитектуре нагрузка управления сетью одинаково 
распределена между менеджерами и серверами. Серверы могут тиражировать базы дан- 
ных. Для передачи, получения и хранения МА применяется структура, использующая 
среду МАСЕМТА (Моше Азеп{ Юг Адтилайоп). 

Второй подход заключается в создании платформы для создания и управления 
МА [19]. Эта платформа соответствует стандарту МАЗЕ (Мое АзепЕ Зу%ет Пие- 
горегаб у ЕасШу) [11]. Были созданы приложения для управления основными функ- 
циями агентов. Эти агенты выполняют простые задачи, но их комбинация может быть 
использована для выполнения сложных задач управления. 

В третьем подходе предлагается МАВММ (Моше Азеп Вазед Мебмотк Мапазе- 
тепе) — структура, которая поддерживает как инфраструктуры мобильных кодов, так 
и средств имитации и управления КС [12]. МСО (Моше Соде Раетоп) запускает УМ 
(Лауа Уптаа1 МасЬте) на каждом управляемом элементе КС и для получения Лауа-от- 
ветов слушает ОПР или ТСР-порты, на которые отправлены запросы. 

В работе [13] для сетевого мониторинга предлагается структура, состоящая из 
четырех компонентов: приложение менеджера (Мапазег), сервер МА$ (Мое Азеп 
Зегуег), генератор МАС (Моше АзепЕ Сепегаюг) и МА (Моше Азепб). Приложения ме- 
неджера управляют мониторингом элементов сети и имеют СОТ. МА$ получает МА, 
выполняет их коды, присваивает им значение и отправляет их. А МАС создает МА, 
соответствующие требованиям определенных сервисов. 


3 Классификации сетевого трафика КС 
с использованием методов машинного обучения 


В основном сетевой трафик в КС состоит из трафиков клиентов, серверов и при- 
ложений и характеризуется множеством признаков, которые используются для сете- 
вого мониторинга КС. В качестве таких признаков могут применяться ОМ$-запросы, 
ОНСР-запросы, ОНСР-ответы, \У/П\5-трафики, числа пакетов, объем и скорость входя- 
щего и выходящего трафиков, [Р-адрес отправителя и получателя, МАС-адрес хостов, 
виды используемых протоколов (например, НТТР, ЕТР, 5МТР и т.п.) и приложений, 
время и т.д. 

Классификация сетевого трафика в реальном масштабе времени является одной 
из основных проблем сетевого мониторинга КС, который позволит решить проблемы 
эффективного управления КС. 

Классификация сетевого трафика позволяет идентифицировать используемые при- 
ложения на основании того, что в основном приложении используют конкретные «из- 
вестные» порты ТСР или ОПР (обычно информация о номере порта имеется в заголов- 
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ках ТСР или ОШР-пакетов). Однако все номера портов, используемые большинством 
приложений, предсказать невозможно [14]. Поэтому нужны более эффективные методы 
классификации сетевого трафика, которые позволяют определить тип приложения на 
основе данных, имеющихся в основной части ТСР или ОШР-пакетов (или на основе из- 
вестных поведений протоколов) [15]. Однако из-за детальности проверки содержимого 
пакетов уменьшается эффективность таких методов классификации сетевого трафика. 

Большинство исследователей считают методы машинного обучения (МО), которые 
являются частью дисциплины искусственного интеллекта, более подходящими для клас- 
сификации сетевого трафика. В 1990 году в работе [16] был предложен инспектор се- 
тевого трафика, основанный на методах МО и предназначавиийся для минимизации 
длительности вызовов в телекоммуникационных сетях с канальной коммутацией. Эта 
работа является началом применения методов МО в области телекоммуникационных 
сетей. В 1994 году МО было использовано для классификации интернет-трафика в це- 
лях обнаружения вторжения [17]. Эта работа положила начало применению методов 
МО для классификации интернет-трафика. 

В общем МО - это процесс поиска и описания шаблонов в структуре заданной 
выборки наборов данных. При этом на вход МО подаются некоторые образцы в виде на- 
бора данных (то есть примеры). Каждый образец характеризуется значениями свойств 
(то есть атрибутами), которые выражают различные аспекты образца. Например, в КС 
последовательность пакетов некоторого сетевого трафика может состоять из образцов, 
при этом атрибутами этих образцов может быть среднее время между пакетами или сред- 
неквадратическое отклонение длины пакетов и т.д. Наборы данных могут быть представ- 
лены в виде матрицы взаимосвязи элементов и атрибутов [18]. 

Выход МО зависит от описания знаний, которым должна быть обучена модель МО. 
А представление результата процесса обучения (синтаксис и семантика) в значитель- 
ной степени зависит от используемого подхода МО. 

Обучение с учителем создает структуры знаний, которые используются для от- 
несения новых образцов в заранее определенные классы [19]. Обучение машины про- 
водится с представлением к ее входу наборов типовых примеров, которые относятся 
заранее к определенному классу. Результатом процесса обучения является построение 
модели классификации на основе анализа и обобщения представленных образцов. 

Формально классификация определяется следующим образом. Пусть Г’- набор 
данных примера, который является множеством пар входов/выходов классификатора, 


то есть Т = {< Хх, У, >,<Х,,У, >,<>,...< ХУ, >}, где х, — вектор входных атрибу- 
тов, соответствующий 1-му образцу, и У, - вектор значения выходных классов. За- 
дача классификации состоит в следующем. В наборе данных примера ТГ’ требуется 
найти такую функцию от входных атрибутов /(Х), которая точно определяет соответ- 


ствующий выходной класс У для всех новых значений х. Причем у принимает диск- 


ретные значения из множества {у Пт | которое состоит из всех заранее опре- 


деленных значений классов. 

На рис. 3 показана модель обучения и тестирования классификатора. В этом при- 
мере показан классификатор, который распознает трафики некоторых классов прило- 
жений (например, трафики онлайновых игр в реальном масштабе времени) в общем 
сетевом трафике. При этом для оптимального обучения и тестирования классификатора 
МО с учителем, классификатору должны быть представлены ранее классифицированные 
примеры трафиков двух типов. Первый тип — это трафики приложений, относящихся 
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к представляющему интерес классу, которые должны быть идентифицированы (напри- 
мер, трафики онлайновых игр), а второй тип — это примеры трафиков других прило- 
жений, которые могут быть идентифицированы в будущем. 


Примеры 
шаблонов 
интересующих 
приложений 
(например, классы Этап МО 
игр) 
Классифика- 
ционная 
Примеры других ре Результат 
трафиков (т.е. правила Г классификации 
неигровые классы) 
определения 
игровых и 
неигровых 
классов) 


Наборы тестовых 
данных (трафики 
интересующих и других 
приложений) 


Рисунок 3 — Модель обучения и тестирования классификатора МО с учителем 


Процесс обучения классификатора МО с учителем заключается в следующем 
(рис. 4). Сначала на этапе «запись трафика» записывается полный сетевой трафик, ко- 
торый содержит и трафики приложений, относящихся к интересующему нас классу 
(например, трафики онлайновых игр), и трафики других приложений (такие, как НТТР, 
ОМ№$, 55Н и/или реег2реег и т.д.). 


Запись трафика 


Статистическая Фильтрация/ 
обработка потока выбор Модель 
характеристик Г» МО Е классификатора 
мо | 
Определение 
выборки данных | 
Вычисление | Процесс обучения | Модель 
статистических | мо | классификатора 
характеристик трафика МО 
Г] О 


Рисунок 4 — Процесс обучения классификатора МО с учителем 


На шаге «Статистическая обработка потока» вычисляются статистические свойства 
потока (такие, как средний размер пакетов, стандартное время задержки между пакета- 
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ми, полный размер трафика и т.д.), которые используются для генерации шаблонов 
трафика. Далее для снижения области поиска для алгоритма обучения МО, то есть 
снижения размерности выборки обучающих данных, на шаге «Выборка данных» выде- 
ляются те признаки, которые представляют интерес. На этом шаге выделяются статис- 
тические характеристики подмножества образцов, относящихся к различным классам 
приложений, которые используются классификатором в процессе обучения. А на вы- 
ходе работает модель классификации. 

Существует ряд алгоритмов классификации на основе обучения с учителем, кото- 
рые отличаются, главным образом, используемыми классификационными моделями и 
алгоритмами поиска решений. В качестве примера можно привести дерево решений 
с учителем и простые алгоритмы классификации Байеса [18], [20]. 


Заключение 


В работе были проанализированы особенности задач сетевого мониторинга КС, 
и можно сделать вывод о том, что задачи, решаемые в сфере управления/мониторинга 
КС, сложны и разнообразны. Эффективное их решение невозможно без применения 
интеллектуальных технологий. 

Основные проблемы сетевого мониторинга КС связаны с тем, что топология КС 
может постоянно меняться, полоса пропускания — быть ограниченной, латентность — 
высокой, коммуникационные каналы — недоступными и т.д. Использование МА в систе- 
мах сетевого мониторинга КС позволит решить эти проблемы, то есть заранее получить 
информацию об этих проблемах и реагировать на них, а также обеспечить децентрали- 
зованное управление/мониторинг КС. 

Классификация сетевого трафика в реальном масштабе является актуальной за- 
дачей эффективного сетевого мониторинга КС. Она позволяет идентифицировать ис- 
пользуемые приложения на основании «известных» номеров портов ТСР или ОПР (обычно 
информация о номере порта имеется в заголовках ТСР или ЧОР-пакетов), используемых 
ими. Однако все номера портов, используемые большинством приложений, предсказать 
невозможно. Поэтому нужны более эффективные методы классификации сетевого тра- 
фика, которые позволяют определить тип приложения на основе данных, имеющихся 
в основной части ТСР или ООР-пакетов (или на основе известных поведений протоколов). 

Большинство исследователей рассматривают методы МО как более подходящие 
для классификации сетевого трафика. Однако каждый алгоритм МО имеет различные 
подходы к классификации и назначению приоритетов, наборам особенностей, которые 
приводят к различным способам обучения и классификации. 

Результаты исследований, проведенных в области классификации сетевого тра- 
фика на основе МО, могут быть использованы при обнаружении вторжений в КС, 
аномалий в поведении пользователей, то есть в определении профилей пользователей, 
а также в создании профиля КС. 
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